ฉันจะหยุดสภาพแวดล้อมการกู้คืนของ Windows ที่ใช้เป็นประตูหลังได้อย่างไร


39

ใน Windows 10 สภาพแวดล้อมการกู้คืนของ Windows (WinRE) สามารถเปิดใช้งานได้โดยการตัดกำลังไฟซ้ำ ๆ เข้ากับคอมพิวเตอร์ในระหว่างการบูต สิ่งนี้จะช่วยให้ผู้โจมตีที่สามารถเข้าถึงเครื่องเดสก์ท็อปได้รับสิทธิ์เข้าถึงบรรทัดคำสั่งของผู้ดูแลระบบ ณ จุดที่พวกเขาสามารถดูและแก้ไขไฟล์รีเซ็ตรหัสผ่านของผู้ดูแลระบบโดยใช้เทคนิคต่าง ๆ เป็นต้น

(โปรดทราบว่าหากคุณเปิดใช้งาน WinRE โดยตรงคุณต้องระบุรหัสผ่านของผู้ดูแลระบบในท้องถิ่นก่อนที่จะให้คุณเข้าถึงบรรทัดคำสั่งซึ่งจะไม่สามารถใช้งานได้หากคุณเรียกใช้ WinRE โดยขัดจังหวะการบูตซ้ำ ๆ Microsoft ยืนยันว่าพวกเขาไม่พิจารณา เป็นช่องโหว่ด้านความปลอดภัย)

ในสถานการณ์ส่วนใหญ่สิ่งนี้ไม่สำคัญเนื่องจากผู้โจมตีที่มีการเข้าถึงเครื่องโดยไม่ จำกัด สามารถตั้งค่ารหัสผ่าน BIOS และเข้าถึงการดูแลระบบได้โดยการบูตจากสื่อที่ถอดได้ อย่างไรก็ตามสำหรับเครื่องคีออสในห้องปฏิบัติการการเรียนการสอนและอื่น ๆ มักจะใช้มาตรการเพื่อ จำกัด การเข้าถึงทางกายภาพโดยเช่นการล็อคและ / หรือการเตือนภัยเครื่อง มันจะไม่สะดวกมากที่จะต้องพยายามปิดกั้นการเข้าถึงของผู้ใช้ทั้งปุ่มเปิดปิดและเต้ารับบนผนัง การกำกับดูแล (ไม่ว่าจะด้วยตนเองหรือผ่านกล้องวงจรปิด) อาจมีประสิทธิภาพมากกว่า แต่ผู้ที่ใช้เทคนิคนี้จะยังไม่เห็นชัดเจนกว่าเช่นผู้ที่พยายามเปิดเคสคอมพิวเตอร์

ผู้ดูแลระบบจะป้องกันไม่ให้ WinRE ถูกใช้เป็นประตูหลังได้อย่างไร


ภาคผนวก:หากคุณใช้ BitLocker คุณจะได้รับการปกป้องด้วยเทคนิคนี้แล้วบางส่วน; ผู้โจมตีจะไม่สามารถอ่านหรือแก้ไขไฟล์ในไดรฟ์ที่เข้ารหัสได้ มันยังคงเป็นไปได้สำหรับผู้โจมตีที่จะล้างดิสก์และติดตั้งระบบปฏิบัติการใหม่หรือใช้เทคนิคที่ซับซ้อนยิ่งขึ้นเช่นการโจมตีของเฟิร์มแวร์ (เท่าที่ฉันทราบเครื่องมือโจมตีของเฟิร์มแวร์ยังไม่สามารถใช้งานได้อย่างกว้างขวางสำหรับผู้โจมตีที่ไม่เป็นทางการดังนั้นนี่อาจไม่เป็นปัญหาในทันที)


1
ควรสังเกตว่าการเข้าถึงทางกายภาพไม่ใช่ข้อกำหนดหากจำเป็นต้องมีการจ่ายพลังงานซ้ำ ๆ ในระหว่างการบู๊ต ที่อาจเกิดขึ้นโดยไม่ตั้งใจเช่นกัน
Alexander Kosubek

1
BTW หากผู้โจมตีสามารถเข้าถึงพีซีของคุณได้เขาเกือบบรรลุเป้าหมายแล้ว
glglgl

@glglgl มันเพิ่มความเสี่ยงอย่างเห็นได้ชัด แต่ในกรณีที่ใช้นี้โจมตีที่อาจเกิดขึ้นโดยทั่วไปจะมีใครสักคนที่มีจะมีการเข้าถึงคอมพิวเตอร์เพราะนั่นคือสิ่งที่มันมีให้ เราไม่สามารถขจัดความเสี่ยงทั้งหมด แต่นั่นไม่ได้หมายความว่าเราควรยอมแพ้และเพิกเฉยต่อสิ่งที่เราทำได้
Harry Johnston

Windows 10 WinRE ไม่อนุญาตให้คุณเข้าถึงพรอมต์คำสั่งหากไม่มีรหัสผ่านของผู้ดูแลระบบ ในขั้นตอนนี้คุณจะได้รับแจ้งให้เลือกหนึ่งในบัญชีผู้ดูแลระบบของ Win10 และระบุรหัสผ่านสำหรับบัญชีนั้น เมื่อการตรวจสอบผ่านคุณจะได้รับการเข้าถึงพรอมต์คำสั่งและคุณสมบัติอื่น ๆ เช่นการรีเซ็ตระบบ
videoguy

@videoguy ถ้าคุณเปิด WinRE ด้วยซ้ำขัดจังหวะลำดับการบูตก็ไม่ให้คุณเข้าถึงพร้อมรับคำสั่งโดยไม่ต้องใส่รหัสผ่านของผู้ดูแลระบบ อย่าถามฉันทำไม นั่นเป็นเพียงวิธีการทำงาน สิ่งนี้ถูกกล่าวถึงแล้วในคำถาม
Harry Johnston

คำตอบ:


37

คุณสามารถใช้reagentcเพื่อปิดการใช้งาน WinRE:

reagentc /disable

ดูเอกสารประกอบของ Microsoftสำหรับตัวเลือกบรรทัดคำสั่งเพิ่มเติม

เมื่อปิดการใช้งาน WinRE ด้วยวิธีนี้เมนูเริ่มต้นจะยังคงมีอยู่ แต่ตัวเลือกเดียวที่ใช้ได้คือเมนูการตั้งค่าเริ่มต้นซึ่งเทียบเท่ากับตัวเลือกการเริ่มต้น F8 แบบเก่า


หากคุณทำการติดตั้ง Windows 10 โดยไม่ตั้งใจและต้องการให้ WinRE ถูกปิดการใช้งานโดยอัตโนมัติในระหว่างการติดตั้งให้ลบไฟล์ต่อไปนี้ออกจากอิมเมจการติดตั้ง:

\windows\system32\recovery\winre.wim

โครงสร้างพื้นฐาน WinRE ยังคงอยู่ (และสามารถเปิดใช้งานได้ในภายหลังโดยใช้สำเนาwinre.wimและreagentcเครื่องมือบรรทัดคำสั่ง) แต่จะถูกปิดใช้งาน

โปรดทราบว่าการMicrosoft-Windows-WinRE-RecoveryAgentตั้งค่าunattend.xmlไม่มีผลใด ๆ ใน Windows 10 (อย่างไรก็ตามนี่อาจขึ้นอยู่กับรุ่นของ Windows 10 ที่คุณกำลังติดตั้งฉันได้ทดสอบเฉพาะที่สาขา LTSB รุ่น 1607)


1
recoverysequenceผมจะแนะนำยังเพิ่มรายการกู้คืนด้วยตนเองที่ไม่ได้เป็นส่วนหนึ่งของ ที่จะช่วยให้การกู้คืนโดยไม่ต้อง (หวังว่า?) จะเริ่มอัตโนมัติ
Mehrdad

มีเหตุผลที่เปิดใช้งาน WinRE ใน Win10 หากระบบของคุณล้มเหลวในการบูตและคุณต้องการซ่อมแซมเครื่องมือ WinRE ช่วยให้คุณทำ เมื่อมีคนเข้าถึงร่างกายได้เดิมพันทั้งหมดจะถูกปิด การปิดใช้งานมันไม่ได้ช่วยในเรื่องนั้นจริงๆ หนึ่งสามารถสร้างแท่ง USB ได้อย่างง่ายดายด้วย WinRE และบูตจากนั้นตอนนี้สามารถเข้าถึงไดรฟ์ C: \
videoguy

@videoguy นั่นเป็นเหตุผลที่เราปิดการใช้งานการบูตจาก USB ใน BIOS และเตือนกรณีต่างๆเพื่อให้ผู้ใช้ไม่สามารถรีเซ็ตรหัสผ่าน BIOS ได้ และแน่นอนว่าเรามีเครื่องมือที่เราจำเป็นต้องซ่อมแซมระบบโดยไม่จำเป็นต้องใช้ WinRE หรือเนื่องจากสิ่งเหล่านี้เป็นเครื่องคีออสก์เราจึงสามารถติดตั้งใหม่ได้
Harry Johnston

16

ใช้ BitLocker หรือการเข้ารหัสฮาร์ดไดรฟ์อื่น ๆ เป็นวิธีเดียวที่เชื่อถือได้และปลอดภัยอย่างแท้จริงในการบรรลุสิ่งที่คุณต้องการ


1
@HarryJohnston: ฉันไม่คุ้นเคยกับ Windows แต่จะไม่เป็นผู้โจมตีที่มีการเข้าถึงทางกายภาพกับคอมพิวเตอร์เสมอจะสามารถที่จะเช็ดไดรฟ์และติดตั้งระบบปฏิบัติการหรือไม่
โทมัส Padron-McCarthy

2
@ ThomasPadron-McCarthy ไม่ใช่ว่ามีการกำหนดค่า BIOS อย่างเหมาะสมและไม่สามารถเปิดเคสได้
Harry Johnston

11
"เป็นวิธีเดียวที่เชื่อถือได้และปลอดภัยอย่างแท้จริง" คำตอบอื่น ๆ ที่กล่าวมานี้ค่อนข้างไม่ถูกต้องหรือให้ความรู้สึกผิด ๆ อธิบายอย่างละเอียดว่าเหตุใดจึงเปลี่ยนคำตอบสั้น ๆ นี้ให้เป็นสิ่งที่มีประโยชน์
เสา

5
นี้. หากใครบางคนกำลังตัดการใช้งานซ้ำ ๆ เพื่อให้สามารถเข้าถึงได้นั้นเป็นเรื่องที่น่ากังวลดังนั้นการใส่ดิสก์ลงในคอมพิวเตอร์เครื่องอื่นก็เป็นเช่นกัน Bitlocker (หรือซอฟต์แวร์ที่คล้ายกัน) เป็นวิธีเดียวในการป้องกัน ไม่มีการพิมพ์ข้อมูลประจำตัวไม่มีการเข้าถึงดิสก์ (ไม่มีประโยชน์มีความหมายเข้าถึงคุณสามารถเขียนทับทุกอย่างได้ แต่คุณสามารถทุบดิสก์ด้วยค้อนได้เสมอ)
Damon

4
@ poizan42 the OP แก้ไขข้อกังวลนี้ที่อื่นๆ พวกเขาเกี่ยวข้องกับ WinRE เพียงเพื่อจุดประสงค์ของคำถามนี้
Pureferret

1

Bit Locker ยังทำงานในกรณีที่มีคนขโมยฮาร์ดไดรฟ์ของคุณและใช้เป็นไดรฟ์รองในพีซีของเขาเพื่อให้พีซีบูตด้วยระบบปฏิบัติการและฮาร์ดไดรฟ์รองเป็นไดรฟ์เพียงอย่างเดียวไม่ต้องใช้รหัสผ่านใด ๆ ได้รับการปกป้องโดย BitLocker บุคคลใดก็ตามสามารถสำรวจเนื้อหาได้อย่างง่ายดายโปรดระวังสิ่งนี้เพราะการทำซ้ำพฤติกรรมนี้อาจทำให้ข้อมูลเสียหายได้

ใช้การเข้ารหัสเสมอเพื่อป้องกันปัญหาประเภทนี้ โปรดอ่านสิ่งนี้สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้ารหัสดิสก์

การเข้ารหัสดิสก์


1
คุณกำลังพูดเรื่องอะไรในโลก? ถ้าคุณต้องการติดตั้งไดรฟ์ bitlockered เป็นไดรฟ์รองคุณต้องมีคีย์การกู้คืน หากคุณทำสิ่งใดเพื่อทำให้ TPM ในเครื่องโฮสต์คุณต้องใช้รหัสการกู้คืน หากคุณบูตเครื่องสำเนาของพอร์ทัล windows คุณจะต้องใช้รหัสกู้คืน
Mark Henderson

2
@ มาร์คฉันคิดว่าคุณตีความคำตอบนี้ผิด มันบอกว่าถ้าคุณไม่ใช้ BitLocker ผู้โจมตีสามารถขโมยฮาร์ดไดรฟ์และเข้าถึงเนื้อหาได้ ในทางกลับกันมันหายไปอย่างสิ้นเชิงจุดของคำถามซึ่งหมายถึงคอมพิวเตอร์ที่มีความปลอดภัยทางร่างกาย; หากผู้โจมตีไม่สามารถเปิดเคสพวกเขาไม่สามารถขโมยฮาร์ดไดรฟ์ได้
Harry Johnston

@Harry Johnstno ตรงไปตรงมาฉันหมายถึงว่าการเข้ารหัสมีความปลอดภัยมากขึ้น
Taha SULTAN TEMURI

@HarryJohnston หากผู้โจมตีไม่สามารถเปิดเคสได้แสดงว่าเขาไม่ได้พยายามมากพอ เลื่อยมือและจาระบีข้อศอกบางอย่างจะ "เปิด" เคสคอมพิวเตอร์ใด ๆ ที่จะพูดอะไรของเครื่องมือไฟฟ้าหรือ "ชนและคว้า" สมัยเก่า ไม่ต้องบอกว่านี่เป็นความเสี่ยงที่น่าจะเกิดขึ้นสำหรับการใช้งาน แต่ยัง"ความปลอดภัยทางร่างกาย" เป็นคำที่เกี่ยวข้องและแทบจะไม่เคยมีความปลอดภัยเลย
HopelessN00b

@ HopelessN00b ใช่ทุกอย่างเกี่ยวกับโปรไฟล์ความเสี่ยง
Harry Johnston
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.